DBA_USERS視圖中ACCOUNT_STATUS記錄的用戶的當前狀態,一般情況下在使用的正常用戶均處於OPEN狀態。
例如我們查看sec用戶的當前狀態,此時該用戶處於OPEN狀態,可以正常使用。
sys@ora10g> select username, account_statusfrom dba_users where username = 'SEC';
USERNAME ACCOUNT_STATUS
--------------------------------------------------------------
SEC OPEN
1.所有用戶狀態彙總
除了常用的OPEN狀態還有哪些用戶狀態?
這個信息可以通過USER_ASTATUS_MAP獲得。
sys@ora10g> select * From USER_ASTATUS_MAP;
STATUS# STATUS
---------- --------------------------------
0OPEN
1EXPIRED
2EXPIRED(GRACE)
4LOCKED(TIMED)
8LOCKED
5EXPIRED & LOCKED(TIMED)
6EXPIRED(GRACE) & LOCKED(TIMED)
9EXPIRED & LOCKED
10EXPIRED(GRACE) & LOCKED
9 rows selected.
用戶狀態不會超出以上九種。
2.九種狀態的分類
以上九種可以分爲兩大類:1.基本狀態;2.組合狀態。
前五種是基本狀態:
0OPEN
1EXPIRED
2EXPIRED(GRACE)
4LOCKED(TIMED)
8LOCKED
後四種是組合狀態:
5EXPIRED & LOCKED(TIMED)
6EXPIRED(GRACE) & LOCKED(TIMED)
9EXPIRED & LOCKED
10EXPIRED(GRACE) & LOCKED
規律是這樣的:後四種的組合狀態可以通過狀態號STATUS#獲得它是哪兩種狀態的組合,例如10=2+8(10 EXPIRED(GRACE) &LOCKED = 2 EXPIRED(GRACE) + 8 LOCKED)。因此只要瞭解基本狀態的含義其他便可無師自通。
3.五種基本狀態的詮釋
這五種基本狀態又可以分爲三類:1.正常狀態;2.鎖定狀態;3.密碼過期狀態。
1)OPEN狀態不用多解釋,表示用戶處於正常狀態。
2)用戶被鎖定狀態,LOCKED和LOCKED(TIMED)兩種狀態都屬於鎖定狀態
用戶被鎖定一般分爲兩種:一種是DBA顯式的通過SQL語句對用戶進行鎖定;另外一種是被動的鎖定,例如默認情況下如果密碼輸入錯誤超過10次(這個限制是由PROFILE中的FAILED_LOGIN_ATTEMPTS控制的,該信息可以通過DBA_PROFILES視圖查詢),用戶將被鎖定。
(1)顯式鎖定sec用戶LOCKED狀態演示
sys@ora10g> alter user sec account lock;
User altered.
sys@ora10g> select username, account_statusfrom dba_users where username = 'SEC';
USERNAME ACCOUNT_STATUS
--------------------------------------------------------------
SEC LOCKED
(2)輸入10次錯誤密碼後被動鎖定LOCKED(TIMED)狀態演示
嘗試輸入10次錯誤密碼後再次查詢用戶狀態。
sys@ora10g> select username, account_statusfrom dba_users where username = 'SEC';
USERNAME ACCOUNT_STATUS
--------------------------------------------------------------
SEC LOCKED(TIMED)
3)用戶密碼過期狀態,EXPIRED和EXPIRED(GRACE)兩種狀態都屬於密碼過期狀態
密碼是否過期是通過修改PROFILE中的PASSWORD_LIFE_TIME實現的,密碼過期後還可以使用的天數是通過PROFILE中的PASSWORD_GRACE_TIME控制的。有關PROFILE的描述請參考文章《【PROFILE】使用Oracle的PROFILE對用戶資源限制和密碼限制的研究與探索》(http://space.itpub.net/519536/viewspace-616287)。
關於密碼過期我們也可以使用SQL顯式的去完成,簡單演示一下。
sys@ora10g> alter user sec password expire;
User altered.
sys@ora10g> select username, account_statusfrom dba_users where username = 'SEC';
USERNAME ACCOUNT_STATUS
--------------------------------------------------------------
SEC EXPIRED
sys@ora10g> conn sec/sec
ERROR:
ORA-28001: the password has expired
Changing password for sec
New password:
Retype new password:
Password changed
Connected.
sec@ora10g>
sec@ora10g> select username, account_statusfrom dba_users where username = 'SEC';
USERNAME ACCOUNT_STATUS
--------------------------------------------------------------
SEC OPEN
4.關於四種組合狀態的解釋
因爲鎖定的兩種狀態(LOCKED和LOCKED(TIMED))和密碼過期的兩種狀態(EXPIRED和EXPIRED(GRACE))之間沒有關係。因此他們之間可以任意組合,2×2=4,因此有四種組合狀態:
5EXPIRED & LOCKED(TIMED)
6EXPIRED(GRACE) & LOCKED(TIMED)
9EXPIRED & LOCKED
10EXPIRED(GRACE) & LOCKED
分別解釋這四種組合狀態
1)EXPIRED& LOCKED(TIMED)狀態表示用戶過期後,錯誤密碼嘗試次數超過PROFILE中的FAILED_LOGIN_ATTEMPTS的限制;
2)EXPIRED(GRACE)& LOCKED(TIMED)狀態表示用戶在密碼過期後的有效期內,不成功登錄次數超過PROFILE中的FAILED_LOGIN_ATTEMPTS的限制;
3)EXPIRED& LOCKED狀態表示用戶過期的同時處於鎖定狀態,做一個實驗。
sec@ora10g> alter user sec account lockpassword expire;
User altered.
sec@ora10g> select username, account_statusfrom dba_users where username = 'SEC';
USERNAME ACCOUNT_STATUS
--------------------------------------------------------------
SEC EXPIRED & LOCKED
sec@ora10g> conn sec/sec
ERROR:
ORA-28000: the account is locked
Warning: You are no longer connected to ORACLE.
4)EXPIRED(GRACE)& LOCKED狀態表示用戶在密碼過期後的有效期內被DBA手工鎖定。
5.小結
Oracle用戶雖然有九種之多的狀態,貌似很複雜,但只要我們能夠對其進行清晰的劃分類別,理解起來便會很容易。
從正常、鎖定和密碼過期三個角度去理解用戶狀態,一切都會水到渠成。
